Utilizar a autenticação Kerberos com o servidor de diretórios de LDAP

A partir da V5R1, o Directory Services permite definir o servidor de diretórios de LDAP para utilizar a autenticação Kerberos.  O Kerberos é um protocolo de autenticação de rede que utiliza uma criptografia de chave secreta para fornecer uma eficaz autenticação às aplicações cliente/servidor.

Para ativar a autenticação Kerberos, terá de ter um dos produtos Cryptographic Service Provider (5722AC2 ou 5722AC3) instalado no sistema. Também terá de ter configurado um serviço de autenticação de rede.

O suporte Kerberos do Directory Services fornece suporte ao mecanismo GSSAPI SASL.  Isto ativa os clientes de LDAP SecureWay e Windows 2000 para utilizarem a autenticação Kerberos com o servidor de diretórios LDAP.

O nome principal de Kerberos que o servidor utiliza tem o seguinte formato:

nome de serviço/nome de anfitrião@domínio

o nome do serviço é "LDAP", o nome do anfitrião é o nome de sistema de TCP/IP totalmente qualificado e o domínio é o domínio predefinido especificado na configuração de Kerberos do sistema.

Por exemplo, para um sistema denominado o meu as400 no domínio de TCP/IP empresa.com, com um domínio de Kerberos predefinido EMPRESA.COM, o nome principal do servidor de LDAP Kerberos será LDAP/o meu as400.empresa.com@EMPRESA.COM.  O domínio Kerberos é especificado no arquivo de configuração de Kerberos (por predefinição, /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf) com a diretiva "default_realm" (default_realm = EMPRESA.COM).  Por convenção, os nomes de domínio Kerberos utilizam apenas maiúsculas e os nomes de anfitrião apenas minúsculas.  "LDAP/" tem de estar em maiúsculas. O servidor de diretórios não pode ser configurado para utilizar a autenticação Kerberos se o domínio predefinido não tiver sido configurado.

Quando a autenticação Kerberos for utilizada, o servidor de diretórios de LDAP associa um nome distinto (DN) à ligação que determina o acesso aos dados do diretório.  Poderá selecionar ter um DN do servidor associado a um dos seguintes métodos:

• O servidor poderá criar um DN baseado no ID de Kerberos.  Quando selecionar esta opção, uma entidade Kerberos do formulário "principal@domínio" gera um DN do formulário "ibm-kn=principal@domínio". "ibm-kn=" é equivalente ao "ibm-Nomekerberos=".
• O servidor poderá procurar no diretório um nome distinto (DN) que contenha uma entrada do principal e domínio Kerberos. Quando selecionar esta opção, o servidor pesquisará o diretório procurando uma entrada que especifique esta identidade Kerberos da seguinte forma:
  • O servidor pesquisa o diretório procurando um objeto "krbRealm" que apresente um atributo "krbRealmName" que corresponda ao domínio Kerberos.  Se encontrar uma dessas entradas, em seguida procurará nos DNs especificados no atributo "princSubtree" uma entrada com o atributo "krbPrincipalName" que corresponda ao nome principal.  É utilizado o DN desta entrada.  Este método é normalmente utilizado quando um KDC de Kerberos está a guardar as informações principais de Kerberos no diretório de LDAP.
  • Se a procura descrita falhar, o servidor procurará uma entrada de diretório que utilize a classe auxiliar "ibm-securityIdentities" e cujo valor do atributo "altSecurityIdentities" seja "KERBEROS:principal@realm".  Este método pode ser utilizado para associar identidades Kerberos com as entradas de diretório quando o KDC não estiver a guardar principais no diretório.

Tem de ter um arquivo de tabela de chaves (keytab) que contenha uma chave para o serviço principal de LDAP.  Consulte o tópico Information Center "Network authentication service" na seção "Security" para obter mais informações sobre o Kerberos no iSeries AS/400. A seção "Configuring network authentication service" contém informações sobre como adicionar informações a arquivos de tabela de chaves.